Webmatze.de | Webmaster Forum

Haribo!

Aloha,

ich habe mich mal wieder gefragt, warum eigentlich die Passwörter Einwegverschlüsseln? Auf den Sourcecode meiner PHP-Dateien kann doch sowieso keiner zugreifen, oder? Ich wüsste jedenfalls nicht wie. Immerhin kann man doch die PHP Datei selbst mit irgendwelchen Downloadtools nicht runterladen (jedenfalls nicht so, dass man Einsicht in den Quelltext hat). Die einzige Möglichkeit das Passwort in der PHP Datei zu sehen, besteht doch nur wenn man die Datei über FTP herunterläd. Oder sehen ich da was falsch?

Sofern keiner auf meinen Server per FTP zugreifen kann, könnte ich doch auch getrost Passwörter im Quelltext ganz unverschlüsselt verwenden.

Eisberg

ja da hast du recht

aber ich denke die leute werden es weiterhin machen oder nicht?

xaos

ja könnten sie aber wenn du ein forum hast, würdest du da wollen, dass ein admin sich die passwörter der user ohne weiteres angucken kann ?
um mal ein kleines beispiel zu nennen. wenn man etwas ahnung hat nimmt man eben sha1 oder md5 rainbow tables und sucht nach einem für den hash komplimentären schlüssel, fertig. meistens hat man so das passwort des users, meistens.

wenn ich einfache anwendugen etc scripte verschlüssle ich auch nie passwörter, ich dneke es ist eher bei größeren sachen für die sicherheiit der user relevant, meine ansicht^^

Haribo!

Okay, dann kann ich das ja beruhigt weiter so machen.
Ich hatte das nur irgendwie so drin Passwörter mit md5 zu verschlüsseln...und hatte da seit einiger Zeit einfach keinen Sinn mehr drin gesehen (zumindest für meine kleinen privaten Sachen).

Davis

ach das ist ja interessant, den quelltext einer php datei kann ich nicht einsehen?
das wusste ich noch gar nicht :-D man lernt immer wieder dazu, habe es gleich ausprobiert!!! hammer danke für den tip!

xaos

grundlagen serverseitiger programmierung ;)

Cimme

Passwörter sollte meiner Meinung nach grundsätzlich verschlüsselt werden. Denn wenn ich mal schlecht programmiere und durch irgendein Loch (GET-Befehl nicht abgesichert) kann u. U. ein fähiger User die Sourcen auslesen, indem er ein eigenes Script über den Get-Befehl verknüpft.

Ich habe mich zwangsläufig mit dem Thema Sicherheit von PHP-Anwendungen mal auseinander gesetzt, da ich ein Immobilienportal programmieren durfte. In den 2 Büchern ist es sehr einleuchtend erklärt.
Leider ist die Verschlüsselung von MySQL-DB-Passwörtern nicht möglich. Hier kann man sich aber helfen, indem man den direkten Zugriff auf die Datei via htaccess (wenn sie in einem Verzeichnis liegt) schützen, oder was viel einfacher ist: in der obersten Zeile nach dem

Haribo!

Ehm. Wie soll das denn mit dem GET-Befehl funktionieren?
Also..du kannst es ja gerne mal versuchen auf meinem Weblog die Passwörter rauszukriegen (bei der Bildergalerie z.B.).

http://www.obira.de/weblog/index.php?page=galerien

xaos

hehe, schick mir mal die sources ohne pw dann versuch ichs auchmal^^

Haribo!

Neh, darum geht's ja. An den Source kommst du ja theoretisch nicht ran (o:

<?<br />highlight_file("http://www.obira.de/weblog/index.php");<br />?>

hilft ja auch nichts, wenn die Datei auf einem anderen Server liegt.

xaos

wenn ich die file sehe kann ich aber gucken ob da sicherheitslücken drinne sind.
weil solange nichts opensource ist, passiert da auchnet viel mit weil man keine lücken gezielt finden kann^^

Haribo!

Ja, wenn's OpenSource wäre, würde ich ja md5 verschlüsseln. ^^

Webmatze.de | Webmaster Forum

Willkommen!

Kategorien

Diskussionsteilnehmer

Who's Online (0)